Protokollvergleich
Das Verhältnis zwischen den Protokollen HTTP (unverschlüsselte Kommunikation) und HTTPS (verschlüsselte Kommunikation) wird mithilfe der globalen Sicht in der Abbildung 1 gezeigt. Es ist deutlich zu erkennen, dass global der Anteil der verschlüsselten Kommunikation (HTTPS) sehr gering im Vergleich zu der unverschlüsselten Kommunikation (HTTP) ist. Lokal bei den Partnern ist dieses Verhalten ebenfalls zu erkennen.
89 Prozent der Kommunikation (blau) zwischen Webserver und Client erfolgt unverschlüsselt und wird im Klartext übertragen. Lediglich 11 Prozent (grün) erfolgt verschlüsselt. Bei anderen Protokollen, wie SMTP ist der Anteil der verschlüsselten Übertragung noch geringer. Eine Entwicklung in diesem Bereich, kann mit einem langfristigen Einsatz der globalen Sicht beobachtet werden.
Des Weiteren lassen sich Abhängigkeiten zwischen unterschiedlichen Protokollen definieren und unzählige Profile bilden. Diese Profile finden Verwendung in der Anomalieerkennung.
Das Internet-Analyse-System kennt aus der Vergangenheit den typischen Verlauf, die Standardabweichungen bzw. die Abhängigkeiten unterschiedlicher Protokolle zueinander, welche in Profilen beschrieben sind. Anhand dieser Profile ist eine Erkennung von Anomalien und Angriffen möglich, da untypisches Verhalten leicht identifiziert werden kann. Die proportionale Abhängigkeit zwischen UDP und TCP ist beispielsweise in der Abbildung 2 leicht zu erkennen, was auf die Abhängigkeit von HTTP zu DNS zurückzuführen ist. Die globale Sicht ermöglicht eine Netzwerk übergreifende Alarmierung.